Mạng máy tính toàncầu internet đã và đang trở thành nhu cầu bức thiết cho mọi người.Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nềnvăn hóa, giữa những con người với nha
Trang 1LỜI NÓI ĐẦU
Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyêncủa sự bùng nổ thông tin Cùng với sự phát triển như vũ bão củacác phương tiện truyền thông đại chúng, lĩnh vực truyền thôngmáy tính đã và đang phát triển không ngừng Mạng máy tính toàncầu internet đã và đang trở thành nhu cầu bức thiết cho mọi người.Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nềnvăn hóa, giữa những con người với nhau đã ngày càng giảm đi.Ngày nay có khoảng 50 – 60 triệu người đang sử dụng internet vàcác ứng dụng trên internet là vô cùng phong phú Từ các ứng dụngtruy xuất từ xa như: NC (Network Computer), WWW,VPN… thìmạng máy tính đồng thời cung cấp môi trường truyền thông tốtcho các dịch vụ thư tín điện tử (Email), tin tức, các hệ quản trị dữliệu phân bố……
Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổchức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khảnăng bị xâm phạm các bí mật, các tài nguyên thông tin cũng tănglên Theo thông kê, số vụ tấn công và xâm phạm tài nguyên thôngtin trên internet mỗi năm tăng lên 100% so với năm trước
Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục
bộ khi tham gia internet vừa có thể bảo vệ an toàn được các dữliệu quan trọng không bị sao chép, sửa đổi hay phá hủy, vừa đảm
Trang 2vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng… Vấn
đề này đã trở nên hết sức quan trọng Tuy nhiên để cho ngườiquản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần cónhững công cụ hữu hiệu
Với lý do trên, em chọn đề tài “Thiết kế và triển khai VPN
Client to Side trong mạng Lan” là đề tài nguyên cứu của em
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm
cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộcông ty từ bên ngoài thông qua mạng Internet Mặc dù sử dụng hạtầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tưcủa dữ liệu giống như đang truyền thông trên một hệ thống mạngriêng
Trang 3Nội dung của đề tài chia làm bốn chương:
Chương 1 Tổng quan về mạng máy tính
Giới thiệu kiến thức cơ bản về mạng, mô hình mạng, giaothức mạng, hệ điều hành mạng, mô hình OSI, các thiết bị cơ bảntrong mạng LAN và WAN, các dịch vụ trên mạng, các hiểm họa
và phương pháp tấn công trên mạng Bên cạnh đó tìm hiểu vềFirewall và mạng VPN
Chương 2 Tổng quan về công nghệ VPN
Giới thiệu khái quát chung, phân loại, các sản phẩm côngnghệ, các giao thức, các kỹ thuật Tunneling, lợi ích, ưu và nhượcđiểm của công nghệ VPN
Chương 3 Thiết kế mô hình VPN Client to Site
Đưa ra tình huống, phân tích, thiết kế và mô hình triển khaithực tế
Chương 4 Triển khai cài đặt mô hình VPN Client to Site
Các bước cài đặt chủ yếu và những chú ý cần thiết khi triển khai mô hình
Trang 4CHƯƠNG 1 TỔNG QUAN MẠNG MÁY TÍNH 1.1 Khái niệm cơ bản
1.1.1 Định nghĩa
Mạng máy tính là hai hay nhiều máy tính được kết nối vớinhau theo một cách nào đó sao cho chúng có thể trao đổi thông tinqua lại với nhau
Hình 1.1 Mô hình mạng cơ bản1.1.2 Kiến trúc mạng
• Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạmđược nối vào một thiết bị trung tâm có nhiệm vụ nhận tínhiệu từ các trạm và chuyển tín hiệu đến trạm đích vớiphương thức kết nối là “điểm - điểm”
Hình 1.2 Cấu trúc mạng dạng sao
Trang 5• Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máytính đều được nối vào một đường dây truyền chính (bus).Đường truyền chính này được giới hạn hai đầu bởi một loạiđầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầucuối để kết thúc đường truyền tại đây) Mỗi trạm được nốivào bus qua một đầu nối chữ T (T_connector) hoặc một bộthu phát (transceiver).
Hình 1.3 Cấu trúc mạng dạng tuyến
• Mạng dạng vòng (Ring topology): các máy tính được liênkết với nhau thành một vòng tròn theo phương thức “điểm -điểm”, qua đó mỗi một trạm có thể nhận và truyền dữ liệutheo vòng một chiều và dữ liệu được truyền theo từng góimột
Trang 6• Mạng dạng lưới (Mesh topology): một máy tính trong mạng
có thể kết nối tới nhiều máy tính
Hinh 1.5 Cấu trúc mạng dạng lưới
1.1.3 Mô hình mạng
• LAN (Local Area Network) - Mạng cục bộ, kết nối các máytính trong một khu vực bán kính hẹp thông thường khoảngvài trăm mét
Hình 1.6 Mô hình mạng LAN
• MAN (Metropolitan Area Network) - Kết nối các máy tínhtrong phạm vi một thành phố
Trang 7Hình 1.7 Mô hình mạng MAN
• WAN (Wide Area Network) - Mạng diện rộng, kết nối máytính trong nội bộ các quốc gia hay giữa các quốc gia trongcùng một châu lục
Trang 8• UNIX: Một hệ điều hành được dùng trong nhiều loại máytính khác nhau, từ các máy tính lớn cho đến các máy tính cánhân, nó có khả năng đa nhiệm phù hợp một cách lý tưỏngđối với các ứng dụng nhiều người dùng
• Linux: Linux là hệ điều hành “giống” Unix - 32 bit chạyđược trên nhiều trạm bao gồm các bộ xử lý Intel, SPARC,PowerPC và DEC Alpha cũng như những hệ thống đa xử lý
1.2 Mạng LAN và WAN
1.2.1 Giao thức và mô hình truyền thông
1.2.1.1 Khái niệm giao thức
Là một chuẩn của tổ chức mạng đưa ra cho phép cácmáy tính trên mạng giao tiếp vơi nhau một cách thống nhất
1.2.1.2 Mô hình OSINăm 1984, tổ chức Tiêu chuẩn hóa Quốc tế - ISO(International Standard Organization) chính thức đưa ra mô hìnhOSI (Open Systems Interconnection), là tập hợp các đặc điểm kỹthuật mô tả kiến trúc mạng dành cho việc kết nối các thiết bịkhông cùng chủng loại
Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồmnhững hoạt động, thiết bị và giao thức mạng khác nhau
Trang 9Hình 1.13 Mô hình OSI
• Tầng vật lý (Physical): là tầng thấp nhất, có chức năng
là truyền dòng bit không có cấu trúc qua đường truyền vật lý
• Tầng liên kết dữ liệu (Data Link): cung cấp phương tiện
để truyền thông tin qua liên kết vật lý đảm bảo tin cậy
• Tầng mạng (Network): thực hiện việc chọn đường và chuyển tiếp thông tin với công nghệ chuyển mạch thíchhợp
• Tầng giao vận/vận tải (Transport): thực hiện truyền dữ liệu giữa hai đầu mút, kiểm soát lỗi
• Tầng phiên (Session): cung cấp phương tiện quản lý truyền thông giữa các ứng dụng
• Tầng trình diễn (Presentation): chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng
Trang 10• Tầng ứng dụng (Applications): xác định giao diện giữa người sử dụng và môi trường OSI
1.2.1.3 Các giao thức phổ biến
• Giao thức TCP/IP: nằm ở tầng giao vận (Transport) của
mô hình OSI Ưu thế chính của bộ giao thức này là khảnăng liên kết hoạt động của nhiều loại máy tính khácnhau Giao thức này đã trở thành tiêu chuẩn thực tế chokết nối liên mạng cũng như kết nối Internet toàn cầu
Hình 1.14 Giao thức TCP/IP
• IPX/SPX: Đây là bộ giao thức sử dụng trong mạngNovell Ưu thế chính là nhỏ, nhanh và hiệu quả trên cácmạng cục bộ đồng thời hỗ trợ khả năng định tuyến
Hình 1.15 Giao thức IPX/SPX
Trang 11• ATP
Hình 1.16 Giao thức ATP
• NetBEUI: Bộ giao thức thu nhỏ, nhanh và hiệu quảđược cung cấp theo các sản phẩm của hãng IBM, cũngnhư sự hỗ trợ của Microsoft Bất lợi chính của bộ giaothức này là không hỗ trợ định tuyến và sử dụng giớihạn ở mạng dựa vào Microsoft
1.2.2 Mạng LAN
1.2.2.1 Bốn tiêu chí mạng LAN
• Phương tiện truyền dẫn
• Quy tắc và chuẩn (giao thức)
Trang 12Hình 1.17 Repeater1.2.2.2.2 Bộ tập trung (Hub): hoạt động ở tầngData Link.
Hình 1.18 Hub1.2.2.2.3 Cầu nối (Bridge): làm việc trên tầngData Link
Hình 1.19 Bridge
Trang 131.2.2.2.4 Bộ chuyển mạch (Switch): có hai loại là Switch lớp 2 làm việc trên tầng Data Link và Switch lớp 3làm việc trên tầng Network của mô hình OSI.
Hình 1.20 Switch1.2.2.3 Các chuẩn LAN
Chuẩn Viện công nghệ điện và điện tử (IEEE): Tiêu chuẩnIEEE LAN được phát triển dựa vào Ủy ban IEEE 802
X series bao gồm các tiêu chuẩn OSI
Chuẩn cáp và chuẩn giao tiếp EIA
Trang 14Các tiêu chuẩn EIA dành cho giao diện nối tiếp giữa modem
• Chuyển mạch thông báo (Switching message):thông báo là một đơn vị thông tin có đối tượng vànội dung
• Chuyển mạch gói (Switching packet): packet lànhững gói tin được chia ra, mỗi gói đều có phầnthông tin điều khiển (header, trailer) cho biết nguồngửi và đích nhận
1.2.3.1.2 Phương tiện truyền dẫn
• Bộ điều giải (Modems)
Trang 161.2.3.2 Các chuẩn WAN
• ISDN (Intergrated Services Digital Network): là mộtloại mạng viễn thông số tích hợp đa dịch vụ chophép sử dụng cùng một lúc nhiều dịch vụ trên cùngmột đường dây điện thoại thông thường
• ATM (Asynchronous Tranfer Mode) hay Cell relay:hiện nay kỹ thuật Cell Relay dựa trên phương thứctruyền thông không đồng bộ (ATM) có thể cho phépthông lượng hàng trăm Mbps
• X.25: được CCITT công bố lần đầu tiên vào năm
1970 X.25 cung cấp quy trình kiểm soát luồng giữacác đầu cuối đem lại chất lượng đường truyền caocho dù chất lượng mạng lưới đường dây truyềnthông không cao
• Frame Relay: công nghệ này ra đời có thể chuyểnnhận các khung truyền lớn tới 4096 byte và khôngcần thời gian cho việc hỏi đáp, phát hiện lỗi và sửalỗi ở lớp 3 (No protocol at Network layer) nên FrameRelay có khả năng chuyển tải nhanh hơn hàng chụclần so với X.25 ở cùng tốc độ
1.3 Các dịch vụ trên mạng Internet
1.3.1 Dịch vụ truy nhập từ xa
Telnet cho phép người sử dụng đăng nhập từ xa vào hệthống từ một thiết bị đầu cuối nào đó trên mạng
Trang 171.3.2 Dịch vụ truyền tệp (FTP)
Là một dịch vụ cơ bản và phổ biến cho phép chuyển các tệp
dữ liệu giữa các máy tính khác nhau trên mạng
1.3.3 Dịch vụ Gopher
Gopher là một dịch vụ chuyển tệp tương tự như FTP, nhưng
nó hỗ trợ người dùng trong việc cung cấp thông tin về tài nguyên
1.3.4 Dịch vụ WAIS
WAIS (Wide Area Information Serves) là một dịch vụ tìmkiếm dữ liệu WAIS thường xuyên bắt đầu việc tìm kiếm dữ liệutại thư mục của máy chủ, nơi chứa toàn bộ danh mục của các máyphục vụ khác
1.3.5 Dịch vụ World Wide Web
World Wide Web (WWW hay Web) là một dịch vụ tích hợp,
sử dụng đơn giản và có hiệu qủa nhất trên Internet Web tích hợp
cả FTP, WAIS, Gopher Trình duyệt Web có thể cho phép truynhập vào tất cả các dịch vụ trên
1.3.6 Dịch vụ thư điện tử (E mail)
Dịch vụ thư điện tử (hay còn gọi là điện thư) là một dịch vụthông dụng nhất trong mọi hệ thống mạng dù lớn hay nhỏ
1.4 Cơ bản an toàn mạng
1.4.1 Các hiểm họa trên mạng
Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổngnày trên mạng là các yếu điểm quan trọng mà người dùng, hacker
Trang 18do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ,cấp thêm quyền đối với các user hoặc cho phép truy nhập khônghợp pháp vào hệ thống
1.4.1.1 Các lỗ hổng loại CMức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượngdịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm pháhỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp
1.4.1.2 Các lỗ hổng loại BĐối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độtrung bình Những lỗ hổng này thường có trong các ứng dụng trên
hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật
1.4.1.3 Các lỗ hổng loại A Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọatính toàn vẹn và bảo mật của hệ thống Các lỗ hổng loại nàythường xuất hiện ở những hệ thống quản trị yếu kém hoặc khôngkiểm soát được cấu hình mạng
1.4.2 Các phương pháp tấn công trên mạng
1.4.2.1 VirusVirus tin học là một phần mềm máy tính mang tính lây lan(ký sinh) và có thể phá hoại dữ liệu Tính lây lan của Virus là khảnăng tự sao chép của Virus từ đối tượng bị nhiễm sang đối tượngkhác và làm cho nó nhân bản nhanh chóng Đối tượng bị nhiễm làcác tệp ( như chương trình, dữ liệu, thư điện tử, văn bản,macro…) và môi trường lan truyền bao gồm mạng, đường truyền
Trang 19và các loại bộ nhớ (RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD,đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có nhiều cách lây lan và tấtnhiên cũng có nhiều cách phá hoại khác nhau Virus máy tính cónhiều chủng họ, chẳng hạn như Boot, File, Macro, Trojan, Worm,Polymorphic, Hoaxes.
1.4.2.2 Treo cứng hệ thống
Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cáchtấn công qua những giao thức tiêu chuẩn, chẳng hạn "dội bomthư" (mail bombing) qua giao thức SMTP, hoặc tấn công "ngậplụt" (flooding) qua giao thức TCP 1.4.2.3 Từ chốidịch vụ
Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho
hệ thống máy chủ bị nhận quá nhiều yêu cầu giả và không thể đápứng được nữa
1.4.3 Các phương pháp bảo mật
1.4.3.1 Xác thực (Authentication): là quá trình xử lý vàgiám sát người sử dụng trong quá trình logon hay truy cậpbất kỳ vào tài nguyên mạng 1.4.3.2 Điều khiển truy cập(Access Control): giới hạn quyền truy cập của người dùngvào tài nguyên hệ thống và cho phép những ai có quyền truycập vào
1.4.3.3 Mã hóa dữ liệu (Data Encryption): nhằm mụcđích không cho người khác đánh cắp dữ liệu Khi dữ liệu gửi
Trang 20đi thì có kèm theo một khóa (key), nếu ai có khóa trùng vớikhóa đó mới đọc được nội dung của dữ liệu gửi tới.
1.4.3.4 Chính sách (Auditing): nhằm mục đích quản lýngười sử dụng trong hệ thống như giám sát quá trình đăngnhập vào hệ thống, chỉnh sửa dữ liệu và một số vấn đề khác
1.5 Firewall
1.5.1 Khái niệm
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kếtrong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệmạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệthống mạng để chống sự truy cập trái phép, nhằm bảo vệ cácnguồn thông tin nội bộ và hạn chế sự xâm nhập không mongmuốn vào hệ thống Nói cách khác, Firewall là hệ thống ngănchặn việc truy nhập trái phép từ bên ngoài vào mạng cũng nhưnhững kết nối không hợp lệ từ bên trong ra Firewall thực hiệnviệc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc haychỉ tiêu định trước
Hình 1.24 Firewall
Trang 211.5.2 Các kiểu firewall
• Firewall dựa trên Application level gateway
Hình 1.25 Application level gateway
• Proxy Server Firewall
Hình 1.27 Proxy Server Firewall
Trang 22CHƯƠNG 2 TỔNG QUAN VỀ CÔNG NGHỆ VPN 2.1 Khái quát chung
2.1.1 Lịch sử hình thành và phát triển
Năm 1975, viễn thông Pháp (France telecom) đã đưa ra mộtloại nghiệp vụ được gọi là Colisee, cung cấp dịch vụ dây chuyêndụng loại chuyển mạch cho các hộ khách thương mại loại lớn.Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của Alcatellàm cơ sở thông qua dây thuê chung, nối các bộ phận của công tylớn đến thiết bị tập trung này, đặt tại Paris Colisee có thể cungcấp phương án gọi số chuyên dụng cho hộ khách Căn cứ lượngnghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý khác(như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượngnghiệp vụ…) Mạng dây chuyên dùng loại hình cùng hưởng thụnày chính là hình thức đầu tiên của VPN, chủ yếu là dùng để nốithông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch âm thoại
và quản lý mạng lưới cho hộ khách Nhưng phạm vi bao phủ củaVPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loạitính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX
mà không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên khôngthực sự linh hoạt
Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡlớn của Mỹ là AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụmạng chuyên dùng ảo, có tên riêng là SDN (Software Defined
Trang 23Network – mạng được định nghĩa bằng phần mềm), Vnet và VPN,đây được coi như là một phương tiện tương đối rẻ tiền dùng đểthay thế cho dây chuyên dùng Do chi phí VPN rẻ hơn dây thuêdùng đối với các hộ khách có lượng nghiệp vụ không bằng nhau,được áp dụng các ưu đãi về cước phí với mức độ khác nhau, nênnhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyểnsang áp dụng nghiệp vụ VPN Khoảng năm 1988, trên mặt nghiệp
vụ VPN, ba công ty nói trên đã triển khai một cuộc chiến quyếtliệt về giá cả, làm cho một số xí nghiệp vừa và nhỏ cũng chịu nổicước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phíthông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ nàytại Mỹ Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại màcòn có thể dùng cho nghiệp vụ dữ liệu
